En ny sekretessbrytande regel för it-outsourcing – men svåra frågor kvarstår!

En ny sekretessbrytande regel för it-outsourcing – men svåra frågor kvarstår!

I betänkandet Säker och kostnadseffektiv it-drift – rättsliga förutsättningar för utkontraktering (SOU 2021:1) som publicerades 2021, även kallad it-driftsutredningen[1], förslogs en ny sekretessbrytande bestämmelse i offentlighets- och sekretesslagen (2009:400) (OSL), genom vilken det skulle bli möjligt för myndigheter att lämna ut uppgifter som omfattas av sekretess till ett företag, till en annan enskild eller till en annan myndighet som har i uppdrag att endast tekniskt bearbeta eller tekniskt lagra uppgifterna för den utlämnande myndighetens räkning.

Den 26 januari 2023 togs nästa steg i lagstiftningsprocessen då regeringen lade fram lagrådsremissen Sekretessgenombrott vid teknisk bearbetning eller lagring av uppgifter. Lagrådet publicerade sitt yttrande[2] den 14 februari 2023.

Det har länge rått en viss osäkerhet vad gäller de rättsliga förutsättningar för statliga myndigheter att utkontraktera it-drift, och särskilt med avseende på frågan om när en uppgift som omfattas av utkontraktering ska anses röjd enligt OSL. För att en utkontraktering, genom vilken uppgifter vanligen görs tillgängliga för en leverantör, ska vara förenlig med OSL föreslås därför att en sekretessbrytande bestämmelse införs i OSL. Förslaget i lagrådsremissen lyder:

Sekretess hindrar inte att en uppgift lämnas till en enskild eller till en annan myndighet som för den utlämnande myndighetens räkning har i uppdrag att endast tekniskt bearbeta eller tekniskt lagra uppgiften, om det med hänsyn till omständigheterna inte är olämpligt att uppgiften lämnas ut.

Lagrådet efterlyser en mer konsekvent terminologi och föreslår följande formulering på lagtexten:

Sekretess hindrar inte att en myndighet lämnar en uppgift till en enskild eller till en annan myndighet om det sker med anledning av uppdrag att för myndighetens räkning tekniskt bearbeta eller tekniskt lagra uppgiften. En uppgift får dock lämnas endast om det inte är olämpligt.

Den sekretessbrytande bestämmelsen föreslås begränsa sig till när uppgiftsmottagaren har i uppdrag att ”tekniskt bearbeta eller tekniskt lagra uppgiften”. Även om flera remissinstanser ansåg uttrycket otydligt, menar regeringen det saknas behov av förtydligande. Regeringen menar att uttrycket har en tydlig koppling till utkontraktering av it-drift, samtidigt som uttrycket är etablerat i sammanhanget, bland annat med stöd av att uttrycket används i tryckfrihetsförordningen (1949:105), lagen (2020:914) om tystnadsplikt vid utkontraktering av teknisk bearbetning eller lagring av uppgifter (tystnadspliktslagen) samt OSL. Begreppet teknisk bearbetning eller teknisk lagring har dock historiskt i första hand ansetts omfatta olika it-infrastrukturtjänster, och således inte mer integrerade it-tjänster som systemleveranser och molntjänster, varför den föreslagna sekretessbrytande regeln kan förväntas få en begränsad betydelse. För många olika typer av it-tjänster kommer det att bli nödvändigt för utkontrakterande myndighet att analysera på vilka grunder uppgifter kan göras tillgängliga för leverantören utan att det finns någon sekretessbrytande bestämmelse. Myndigheterna kommer då att behöva göra den generella sekretessbedömning som beskrivs i lagrådsremissen. I lagrådsremissen beskrivs de komplikationer som följer av att det kan vara svårt att överblicka innehållet i de uppgiftssamlingar som lämnas ut. För att säkerställa att sekretessreglerade uppgifter kan lämnas ut, behöver myndigheten också analysera det sätt på vilket it-tjänsterna produceras, för att bedöma om uppgifterna har ett sådant skydd att de kan lämnas ut utan hinder av sekretess. Även om den föreslagna sekretessbrytande bestämmelsen innebär vissa förenklingar för myndigheterna, återstår i praktiken mycket arbete och svåra analyser för att säkerställa att en utkontraktering är lagenlig.

I både it-driftsutredningen och lagrådsremissen har uttrycket ”endast tekniskt bearbeta eller tekniskt lagra” använts, vilket också stämmer överens med tystnadspliktslagen. Lagrådet har däremot, utan närmare motivering, valt att utelämna ordet ”endast”. Det återstår att se hur regeringens slutliga författningsförslag kommer att se ut. En fråga som inställer sig, om de två lagrummen kommer att vara olika utformade, är om det innebär någon skillnad i tillämpningsområde för de två bestämmelserna. En sådan skillnad skulle riskera att öka den ovan nämnda osäkerheten om vad som avses med teknisk bearbetning och teknisk lagring.

En tydligare reglering av förutsättningarna för utkontraktering är välkommet. Lagrådsremissen och Lagrådets yttrande är två steg mot en sådan reglering. Samtidigt reser förslagen en del frågor. Nästa steg blir hur regeringen förhåller sig till Lagrådets synpunkter, hur ett slutligt lagförslag kommer att se ut och hur det kommer att förtydligas i författningskommentaren. En proposition är avsedd att avlämnas till riksdagen för slutbehandling den 11 april 2023 med ett planerat ikraftträdande den 1 juli 2023.[3]

Har du frågor om förslaget eller om it-outsourcing i övrigt? Kontakta gärna,

Christina Wikström
Advokat & Managing Partner
christina@wikstrompartners.se
+46 70 691 6800

[1] Vilken vi tidigare skrivit om, se inlägg från den 18 januari 2021, https://wikstrompartners.se/it-driftsutredningen-lamnar-forslag-om-sekretessbrytande-regel/.

[2] https://www.lagradet.se/wp-content/uploads/2023/02/Sekretessgenombrott-vid-teknisk-bearbetning-eller-lagring-av-uppgifter.pdf.

[3] Statsrådsberedningens propositionsförteckning våren 2023, https://www.regeringen.se/48eeec/contentassets/0e418b396c044cf39acb6daae9f33f10/propositionsforteckning-varen-2023.pdf.